Tcpdump e pacotes SMB e IPX
Ola,
Estou trabalhando com tcpdump com o objetivo de gerar estatisticas
sobre o fluxo de pacotes na rede e estou enfrentando algumas dificuldades
quanto a analise dos resultados do tcpdump.
Observe a saida abaixo:
987602722.167331 0:0:21:f4:88:fe 11:ff:ff:ee:ff:ff 92: 200.xxx.xxx.xxx >
200.xxx.xxx.xxx: udp 50
4500 004e ba80 0000 8011 ae15 c812 20e5
d812 20yf 0p89 0089 002a 341d 82ca 0110
0001 0000 0000 0000 2045 4245 4d45 4m46
4b45 5045 4f45
Este eh o formato de saida produzido pelo tcdump em 90 % dos pacotes
analizados.Outro script que possuo analiza isso e gera texto entendivel.
Nos outros 10% ele gera algo como:
987602721.584394 0:48:54:3f:7c:ce 3:0:0:0:0:1 180:
>>> NetBeui Packet
Type=0x3 Length=44 (0x2c) Signature=0xEFFF Command=0x8
NetbiosDataGram:
Destination=LALALA NameType=0xD (Master Browser)
Source=LALALA NameType=0x01 (Workstation)
ff0 032c 00ff ef08 0000 0000 0000 004c
414e 4350 4420 2020 2020 2020 2020 1d43
4155 3034 2020 2020 2020 2020 2020 00ff
534d 4225 0000
Por causa destes 10%, o script de analise se perde.
Se alguem ja enfrentou problemas parecidos com o tcdump e/ou
sabe como filtrar dados IPX e SMB para nao apareca caracteristicas do
pacote mas sim apenas seu cabecalho( para seguir o padrao ) , agradeco
pela ajuda.
Teria que ser alguma opcao dizendo para nao especificar os pacotes IPX
e SMB. Tentei a opcao -q ( para diminuir as informacoes output ) e ajudou
um pouco, mas ainda nao resolve.
Era isso. Ate.
./Rafael --righi --NoWin
-------------------------------------------------------------------------------
Rafael da Rosa Righi e-mail:rafaelrr@inf.ufsm.br
Estagiario setor Suporte CPD
Curso de Ciencia da Computacao.
Universidade Federal de Santa Maria - UFSM
Rio Grande do Sul - Brasil
-------------------------------------------------------------------------------
Reply to: